WannaCry : une parade trouvée… grâce à une lacune de Windows

Trois spécialistes en sécurité informatique ont réussi à mettre au point un logiciel permettant de retrouver les données bloquées par le ransomware, sans avoir à débourser un euro.
YONHAP / AFP

Apparu il y a une semaine, le malware WannaCry a infecté des centaines de milliers de machines sous Windows dans le monde, bloquant des usines, des panneaux publicitaires ou des hôpitaux. Le week-end dernier, un jeune britannique parvenait à ralentir l’épidémie en achetant un simple nom de domaine. Cette fois, trois spécialistes français sont parvenus à aller plus loin. Ils ont développé un programme permettant aux victimes de déverrouiller l’accès à leurs données, sans payer la rançon.

Chiffrer la clé de chiffrement

Lorsqu’il s’attaque à un PC, WannaCry génère deux clés pour chiffrer les données. La première est publique, la seconde est privée. Une fois le malware installé, la clé privée est elle-même chiffrée. De ce nouveau chiffrement découle une clé maître, détenue par les hackers. Une fois la rançon payée, ils pourront l’envoyer à la machine, déchiffrant la clé privée, qui permettra de déchiffrer les fichiers pris en otage.

Pour générer sa clé de chiffrement, WannaCry fait appel aux fonctions cryptographiques de Windows. Or celles-ci semblent contenir quelques faiblesses : avant d’être chiffrée, la clé privée est brièvement inscrite dans la mémoire vive, en clair. C’est là qu’interviennent Adrien Guinet, Matthieu Suiche et Benjamin Delpy. Leur idée est d’exploiter cette brève apparition pour retrouver la clé. Bien que la version non chiffrée de la clé privée soit rapidement effacée, le nettoyage laisse quelques restes, parfois exploitables.

Contacté par 01net.com, Benjamin Delpy - directeur de Projets Sécurité à la Banque de France - explique que son programme est capable d’aller chercher ces traces. De son côté, le chercheur Adrien Guinet a planché sur la partie mathématique, permettant de reconstituer la bonne clé à partir des éléments récupérés. Aidés par l’expert en cybersécurité Matthieu Suiche, ils ont publié la première version de Wanakiwi en open source sur Github. Disponible pour tous, le logiciel peut être téléchargé et installé en quelques clics.

Pas de solution miracle

Comme l’explique Benjamin Delpy, il ne s’agit pas pour autant «d’une solution miracle». Avec l’arrivée des dernières versions de Windows, la gestion de la mémoire est devenue plus efficace. Autrement dit, la suppression des données non chiffrées se fait de mieux en mieux, rendant plus difficile la tâche de ceux qui veulent retrouver les restes. Selon Benjamin Delpy, Wanakiwi fonctionne dans 60% des cas pour les machines tournant sous Windows XP. Sur Windows 7, le taux de réussite stagne pour le moment à 10%.

Comme le précise Matthieu Suiche dans un billet de blog, certaines manipulations rendent la tâche de Wanakiwi impossible. Ainsi, le fait de redémarrer une machine infectée équivaut à passer une scène de crime au Kärcher. Le conseil est clair : en cas d’infection, ne toucher à rien et télécharger le logiciel.

Bien qu’imparfaite, la solution mise au point par les trois spécialistes français a le mérite de venir en aide à une partie des victimes. Du moins, les plus chanceux. En attendant, Benjamin Delpy confirme que plusieurs entreprises ont déjà fait appel à Wanakiwi - également approuvé par Europol - pour se libérer de Wannacry. Il ne précisera pas si Renault en fait partie.